Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda, a publicat de curând Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate de sistemele CCTV.

Prin elaborarea acestui Ghid, DPC urmărește “să ajute proprietarii și chiriașii de spații, în special unde se desfășoară activitate a angajaților sau care sunt accesibile publicului, să-și înțeleagă responsabilitățile și obligațiile privind protecția datelor atunci când utilizează sisteme CCTV”.

Va prezentam în cele ce urmează principalele idei desprinse din Ghid:

Supraveghezi video un spațiu? Atunci ești operator!

Încă din start, DPC lămurește calitatea entităților care monitorizează video un spațiu. Astfel, conform articolului 4 din GDPR, orice persoană sau organizație care colectează și procesează datele personale ale persoanelor fizice este considerată "operator de date". Din acest motiv, orice utilizare a unui sistem CCTV trebuie luată în considerare în lumina obligațiilor impuse de legislația privind protecția datelor cu privire la operatorii de date și implementate în conformitate cu principiile protecției datelor.

Când sunt date personale și când când își pierd această calitate înregistrările video/foto?

Operatorii de date ar trebui să fie conștienți de faptul că filmările sau imaginile capturate de sistemele CCTV, care conțin persoane identificabile, sunt date cu caracter personal în sensul legislației privind protecția datelor. În cazul în care se folosesc procese pentru blurr-area persoanelor fizice din înregistrările CCTV, capturile foto/video sunt în continuare considerate date cu caracter personal în cazul în care este posibilă re-identificarea persoanelor fizice. În plus, dacă înregistrările foto/video sunt inițial capturate într-o formă identificabilă și apoi se realizează o anonimizare ireversibilă, legea privind protecția datelor va acoperi în continuare prelucrarea până la momentul în care s-a realizat procesul de anonimizare.

Înainte de instalarea unui sistem CCTV, atât organizațiile cât și persoanele persoanele fizice ar trebui să parcurgă următorul checklist, pentru a se asigura că prelucrarea respectivă este în concordantă cu cerințele privind protecția datelor.Toate aceste aspecte sunt tratate în detaliu în Ghid.

CCTV Checklist

• Scop: Ai un scop clar definit pentru instalarea CCTV? Ce anume dorești să surprinzi în înregistrările foto/video? Va fi utilizat sistemul CCTV numai în vederea asigurării securității ? Dacă nu, puteți justifica celelalte scopuri? Va fi limitată folosirea datelor personale colectate de CCTV la scopul inițial?
• Legalitatea prelucrării: Care este temeiul juridic al prelucrarii datelor colectate prin sistemul CCTV? Temeiul legal pe care îți bazezi prelucrarea este cel mai potrivit?
• Necesitate: Poți demonstra că sistemul CCTV este necesar pentru atingerea scopului tău? Ai luat în considerare alte soluții care nu colectează datele personale ale persoanelor prin înregistrarea continuă a mișcărilor și acțiunilor? (adică măsuri mai puțin intruzive în viata privată a persoanelor vizate?)
• Proporționalitate: Dacă sistemul CCTV va fi utilizat în alte scopuri decât cele de securitate, poți demonstra că aceste alte utilizări sunt proporționale cu drepturile și interese persoanelor vizate? De exemplu, monitorizarea personalului la locul de muncă este foarte intruzivă și ar fi justificată prin referire la circumstanțe speciale. Monitorizarea din motive de sănătate și siguranță ar necesita dovezi că instalarea unui sistem CCTV a fost proporțională în lumina problemelor de sănătate și siguranță care au apărut înainte de instalarea sistemului CCTV. Va fi înregistrarea CCTV rezonabilă în raport cu impactul asupra persoanelor pe care le veți înregistra? Vei înregistra clienți, personalul angajat, sau alte persoane? Poți justifica utilizarea unui sistem de monitorizare video în comparație cu efectul pe care acesta îl va avea asupra altor persoane? Poți demonstra că instalarea unui sistem CCTV care colectează date cu caracter personal în mod continuu este justificată?

Atenție: Probabil va fi necesară efectuarea unei evaluări a impactului asupra protecției datelor pentru răspunde în mod adecvat acestor întrebări.

• Securitate: Ce măsuri vei pune în aplicare pentru a te asigura că înregistrările CCTV sunt păstrate în condiții de siguranță și securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizațional? Cine va avea acces la înregistrări CCTV în organizația ta. și cum va fi gestionat și înregistrat accesul? (adică exista o politica clară privind accesul la înregistrări și divulgarea acestora?)
• Retenție: Cât timp veți păstra înregistrările, ținând seama de faptul că acestea nu trebuie păstrate mai mult decât este necesar pentru îndeplinirea scopului inițial?
• Transparență: Cum îi informați pe oameni că le înregistrați imaginile și cum le furnizați alte informații necesare în vederea respectării obligațiilor privind transparența? Ați luat în considerare modul în care vă pot contacta pentru mai multe informații sau pentru a solicita o copie a unei înregistrări?

Pentru a descarca Ghidul accesați următorul link

Particularitățile legislației naționale din România

Principiile aplicabile protecției datelor personale sunt general valabile pe întreg teritoriul Uniunii Europene, motiv pentru care Ghidul poate fi interpretat ca un instrument de bune practici pentru toți cei care intenționează să utilizeze un sistem de monitorizare video. Cu toate acestea, legea 333/2003, prin care sunt reglementate paza obiectivelor, bunurilor, valorilor și protecția persoanelor, este extrem de importantă în stabilirea legalității sistemelor de monitorizare video.

Respectarea legii 333/2003 pas cu pas

1. Înainte de a începe parcurgerea checklist-ului de mai sus, efectuați o analiza de risc la securitate fizică, în principal pentru ca este obligatorie conform legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, dar și pentru a determina dacă aveți sau nu obligația de a instala un sistem de monitorizare video.
2. În condițiile în care evaluarea de risc prevede printre măsuri și instalarea sistemului CCTV, va trebui să apleți la o firma licențiată  de Inspectoratul General al Poliției Românei. În acest caz, temeiul legal pe care se va baza monitorizarea va fi obligația legală.
3. Dacă în urma evaluării de risc nu a rezultat necesitatea instalării sistemului CCTV, cel mai probabil prelucrarea datelor se va realiza în baza interesului legitim, cu condiția ca acesta să existe și să poată fi demonstrat. În acest caz va trebui să parcurgeți checklist-ul prezentat mai sus și, cel mai probabil, va fi necesara o evaluare a impactului asupra protecției datelor, cunoscută sub acronimul “DPIA”.

Monitorizarea angajaților, un subiect mereu fierbinte

Decizia adoptării unei soluții de monitorizare a angajaților poate fi, de cele mai multe ori, justificată de interesele angajatorului, însă nu este legală dacă nu este în echilibru cu drepturile și libertățile angajaților. O astfel de decizie nu poate fi luată decât în urma unui proces amplu de analiză asupra impactului pe care soluția de monitorizare o are asupra datelor personale ale angajaților, consemnată printr-o procedură transparentă prin care angajaților le sunt aduse la cunoștință toate aspectele referitoare la monitorizarea activităților lor.

Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, a instituit norme detaliate în vederea respectării justul echilibru între scopul urmărit și respectarea drepturilor fundamentale ale omului, pentru cazurile în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de angajator.

Astfel, pentru a monitorizarea angajaților invocând interesul legitim, este necesară îndeplinirea, cumulativă, a următoarelor condiții:

1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
5. durata de stocare a datelor cu caracter personal sa nu fie mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Recomandările experților privind monitorizarea angajaților

• Se recomandă evitarea prelucrării datelor angajaților în baza consimțământului acestora, din cauza dezechilibrului de putere din relația angajator-angajat. În cazul folosirii consimțământului pentru justificarea prelucrării datelor angajaților, angajatorii vor trebui să poată dovedi validitatea consimțământului, ceea ce s-ar putea dovedi a fi foarte dificil sau imposibil de realizat;
• Monitorizarea în vederea evaluării activității angajaților este o măsura mult prea intruziva, motiv pentru care este indicat sa se identifice alte metode de evaluare;
• Este interzisă prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spații în care se impune asigurarea intimității persoanelor, cum ar fi: cabine de probă, vestiare, cabine de duș, toalete sau alte locații similare;
• Camerele de supraveghere video se montează în locuri vizibile;
• Este interzisă utilizarea mijloacelor de supraveghere video ascunse, cu excepția situațiilor prevăzute de lege;
• Amprentarea angajaților este o măsură disproporționată în raport cu riscurile identificate de angajator și nu e justificată temeinic de necesitatea luării unei astfel de măsuri;
• Înainte de a lua de decizia de a instala un sistem de monitorizare al angajaților este necesara o analiză referitoare la necesitatea și proporționalitatea măsurii precum și analiza eventualelor soluții alternative care au un impact mai mic asupra vieții private a salariaților;
• Monitorizarea angajaților trebuie realizată fără a aduce prejudicii drepturilor și libertăților angajaților, într-un mod transparent, în limita scopului declarat și în conformitate cu politicile și  procedurile instituite și comunicate angajaților.

Informarea, o provocare pentru operatori

Una dintre principiile care definesc esența GDPR-ului este transparența prelucrărilor. Aceasta presupune ca persoanele să fie pe deplin conștiente de prelucrările de date care le vizează, însemnând că în momentul în care o persoană este subiectul unei prelucrări de date, inclusiv prin intermediul sistemelor de supraveghere video, aceasta trebuie să fie informata conform dispozițiilor art. 14 din GDPR.

În practica, acest lucru este extrem de rar, informările privind existenta sistemelor de supraveghere video fiind incomplete, ambigue sau lipsesc cu desăvârșire.

Pentru a veni în ajutorul operatorilor care utilizează sisteme CCTV, am solicitat specialiștilor un model de informare.Mulțumim echipei DPO Consulting pentru furnizare modelului de informare, care poate fi descarcat, în format evitabil, accesând link-ul de mai jos.

MODEL informare monitorizare video - by DPO Consulting

Vă atragem atenția că acesta este doar un model orientativ de informare, aplicabil doar operatorilor care realizează monitorizarea video în temeiul legii 333/2003.

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

• ISBN: 978-606-28-1430-4
• Format: Tipărit  
• Pagini: 452
• Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
• Publicat de: Editura Universitară, Colecţia Ştiinte juridice
• Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

DESPRE ACEST PROIECT EDITORIAL

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."